Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Ändringar i signaturverifiering för Windows Authenticode
Publicerad: 10 december 2013 | Uppdaterad: 29 juli 2014
Version: 1.4
Allmän information
Sammanfattning
Microsoft meddelar tillgängligheten för en uppdatering för alla versioner av Microsoft Windows som stöds för att ändra hur signaturer verifieras för binärfiler som är signerade med Windows Authenticode-signaturformatet. Ändringen ingår i säkerhetsbulletinen MS13-098, men aktiveras endast på opt-in-basis. När det här är aktiverat tillåter inte längre det nya beteendet för verifiering av Windows Authenticode-signaturen onödig information i WIN_CERTIFICATE struktur, och Windows identifierar inte längre icke-kompatibla binärfiler som signerade. Observera att Microsoft kan göra detta till ett standardbeteende i en framtida version av Microsoft Windows.
Rekommendation Microsoft rekommenderar att körbara filer som författare överväger att följa alla signerade binärfiler med den nya verifieringsstandarden genom att se till att de inte innehåller någon överflödig information i WIN_CERTIFICATE struktur. Microsoft rekommenderar också att kunderna testar den här ändringen på lämpligt sätt för att utvärdera hur den ska bete sig i deras miljöer. Mer information finns i avsnittet Föreslagna åtgärder i den här rekommendationen.
Rådgivande information
Problemreferenser
Mer information om det här problemet finns i följande referenser:
| Referenser | Identifiering |
|---|---|
| Säkerhetsbulletin | MS13-098 |
| Allmän information | Introduktion till funktionen \ WinVerifyTrust för kodsignering \ Authenticode Portable Executable Signature Format |
| Specifik information | Windows Rotcertifikatprogram – tekniska krav |
Vanliga frågor och svar om rådgivning
Vad är omfattningen av rådgivningen?
Syftet med den här rådgivningen är att informera kunderna om en valfri ändring av hur Microsoft Windows verifierar Authenticode-signerade binärfiler.
Varför reviderades denna rekommendation den 29 juli 2014?
Den här rekommendationen ändrades den 29 juli 2014 för att meddela att det striktare verifieringsbeteendet för Windows Authenticode-signaturen som beskrivs här kommer att aktiveras på opt-in-basis och inte göras ett standardbeteende i versioner av Microsoft Windows som stöds.
Hur implementerar Microsoft det striktare verifieringsbeteendet för Windows Authenticode-signatur?
Den 10 december 2013 släppte Microsoft Security Bulletin MS13-098 för att distribuera den underliggande koden för striktare verifieringsbeteende för authenticode-signaturer. Tidigare meddelade den här rekommendationen att Microsoft senast den 12 augusti 2014 skulle aktivera de ändringar som implementerats med MS13-098 som standardfunktioner. Men när vi arbetade med kunder för att anpassa oss till den här ändringen bestämde vi oss för att effekten på befintlig programvara kan vara hög. Därför planerar Microsoft inte längre att tillämpa det striktare verifieringsbeteendet som standardkrav. De underliggande funktionerna för striktare verifiering finns dock kvar och kan aktiveras efter kundens gottfinnande.
Hur aktiverar jag det nya verifieringsbeteendet för signaturer?
Kunder som vill aktivera det nya verifieringsbeteendet för Authenticode-signatur kan göra det genom att ange en nyckel i systemregistret. När nyckeln har angetts identifieras inte längre binärfiler med Authenticode-signaturer i Windows Authenticode-signaturen som innehåller överflödig information i WIN_CERTIFICATE struktur. Kunder kan välja att inaktivera funktionen när som helst genom att inaktivera den här registernyckeln. Se Föreslagna åtgärder nedan för instruktioner.
Jag har aktiverat den här ändringen. Behöver jag göra något nu när den inte tillämpas som standard? Kunder som redan har aktiverat det striktare verifieringsbeteendet och inte har upplevt problem kan välja att låta verifieringsbeteendet vara aktiverat. Kunder som har problem med programkompatibilitet med det nya beteendet, eller kunder som helt enkelt vill inaktivera det nya beteendet, kan inaktivera funktionen genom att ta bort registernyckeln EnableCertPaddingCheck. Se Föreslagna åtgärder nedan för instruktioner.
Jag har inte aktiverat den här ändringen, behöver jag göra något nu när den inte tillämpas som standard?
Nej. Det striktare verifieringsbeteendet som installerades med MS13-098 finns i systemet men kommer att vara vilande funktioner tills det är aktiverat.
Påverkar det nya verifieringsbeteendet redan installerad programvara?
Det nya striktare verifieringsbeteendet gäller när det är aktiverat främst för binärfiler med bärbar körbar fil (PE) som är signerade med Windows Authenticode-signaturformatet. Binärfiler som inte är signerade med det här formatet eller som inte använder WinVerifyTrust för att verifiera att signaturer inte påverkas av det nya beteendet. Binärfiler som mest sannolikt påverkas är PE-installationsfiler som distribueras via Internet och som anpassas vid nedladdningstillfället. Det vanligaste scenariot där användare kan uppfatta en effekt är vid nedladdning och installation av nya program. Detta gäller endast om kunder har valt att aktivera det striktare verifieringsbeteendet, varefter användarna kan observera varningsmeddelanden när de försöker installera nya program med signaturer som inte kan verifieras.
Påverkar det nya verifieringsbeteendet AppLocker-principer?
För kunder som har valt att aktivera det striktare verifieringsbeteendet kan alla AppLocker-regler som är beroende av filer som signeras eller förväntar sig en specifik utgivare påverkas om signaturen på en fil inte uppfyller de striktare verifieringskraven för Authenticode-signaturer.
Påverkar det nya verifieringsbeteendet principer för begränsning av programvara?
För kunder som har valt att aktivera det striktare verifieringsbeteendet kan alla principer för begränsning av programvara som är beroende av filer som signeras eller förväntar sig en specifik utgivare påverkas om signaturen på en fil inte uppfyller de striktare verifieringskraven för Authenticode-signaturen.
Det nya striktare verifieringsbeteendet bedömer min binära inkompatibla. Vad har jag för alternativ?
Om en binär fil anses vara icke-kompatibel med det striktare verifieringsbeteendet för Authenticode-signaturen är detta inte ett problem på system som inte har aktiverat det nya verifieringsbeteendet eftersom Microsoft inte tillämpar det striktare beteendet som standard. Men för att åtgärda problem med en validering av binärt fel i system där det nya verifieringsbeteendet har aktiverats måste binärfilen signeras igen med strikt efterlevnad av Windows Authenticode-signaturformatet och specifikt inte inkludera överflödig information i WIN_CERTIFICATE struktur.
Finns det någon möjlighet att en signatur identifieras som icke-kompatibel med den striktare verifieringsprocessen om jag loggar in med signeringsverktyg som inte tillhandahålls av Microsoft?
Ja. För kunder som väljer att aktivera striktare verifieringsbeteende riskerar signering av binärfiler med icke-Microsoft-tillhandahållna signeringsverktyg att signaturer identifieras som icke-kompatibla med det striktare verifieringsbeteendet. Genom att använda Microsoft-produkter eller signaturverktyg som Microsoft tillhandahåller, till exempel signtool.exe, kan du se till att signaturer identifieras som kompatibla.
Vad är Windows Authenticode?
Windows Authenticode är ett format för digital signatur som används för att fastställa ursprunget och integriteten för binärfiler för programvara. Authenticode använder PKCS (Public-Key Cryptography Standards) #7 signerade data och X.509-certifikat för att binda en Authenticode-signerad binär fil till en programvaruutgivares identitet. Termen "Authenticode signature" refererar till ett format för digital signatur som genereras och verifieras med funktionen WinVerifyTrust.
Vad är verifiering av Windows Authenticode-signatur?
Windows Authenticode-signaturverifiering består av två primära aktiviteter: signaturkontroll på angivna objekt och förtroendeverifiering. Dessa aktiviteter utförs av funktionen WinVerifyTrust, som kör en signaturkontroll och skickar sedan förfrågan till en förtroendeprovider som stöder åtgärdsidentifieraren, om det finns någon. Mer teknisk information om funktionen WinVerifyTrust finns i Funktionen WinVerifyTrust.
En introduktion till Authenticode finns i Introduktion till kodsignering.
Föreslagna åtgärder
Granska tekniska krav för Microsoft Root Certificate Program
Kunder som är intresserade av att lära sig mer om ämnet som beskrivs i den här rekommendationen bör granska Windows Rotcertifikatprogram – Tekniska krav.
Ändra processer för binär signering
När du har granskat den tekniska information som ligger till grund för ändringen i verifieringsbeteendet för Authenticode-signaturen rekommenderar Microsoft att kunderna ser till att deras Authenticode-signaturer inte innehåller överflödig information i WIN_CERTIFICATE struktur. Microsoft rekommenderar också att körbara användare överväger att anpassa sina Authenticode-signerade binärfiler till den nya verifieringsstandarden. Författare som har ändrat sina processer för binär signering och vill aktivera det nya beteendet kan göra det på opt-in-basis. Se Windows Rotcertifikatprogram – Tekniska krav för vägledning.
Testa verifiering av autentiseringssignatur
Microsoft rekommenderar att kunderna testar hur den här ändringen av verifiering av Authenticode-signatur fungerar i deras miljö innan de implementerar den fullt ut. Om du vill aktivera verifieringsförbättringarna för Authenticode-signaturen ändrar du registret för att lägga till värdet EnableCertPaddingCheck enligt beskrivningen nedan.
Varning Om du utför de här stegen för att aktivera funktionsändringarna som ingår i MS13-098-uppdateringen visas icke-kompatibla binärfiler osignerade och gör dem därför obetrodda.
Obs! Om du använder Registereditorn felaktigt kan du orsaka allvarliga problem som kan kräva att du installerar om operativsystemet. Microsoft kan inte garantera att du kan lösa problem som uppstår vid felaktig användning av Registereditorn. Använd Registereditorn på egen risk.
När du har installerat MS13-098-uppdateringen utför du följande:
För 32-bitarsversioner av Microsoft Windows
Klistra in följande text i en textredigerare, till exempel Anteckningar. Spara sedan filen med filnamnstillägget .reg (till exempel enableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"Du kan använda den här .reg filen på enskilda system genom att dubbelklicka på den.
Observera Att du måste starta om systemet för att ändringarna ska börja gälla.
För 64-bitarsversioner av Microsoft Windows
Klistra in följande text i en textredigerare, till exempel Anteckningar. Spara sedan filen med filnamnstillägget .reg (till exempel enableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1" [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"="1"Du kan använda den här .reg filen på enskilda system genom att dubbelklicka på den.
Observera Att du måste starta om systemet för att ändringarna ska börja gälla.
Effekten av att aktivera funktionsändringarna som ingår i MS13-098-uppdateringen . Icke-överensstämmande binärfiler visas osignerade och återges därför ej betrodda.
Så här inaktiverar du funktionerna. Utför följande för att ta bort registervärdet som tidigare lagts till.
För 32-bitarsversioner av Microsoft Windows klistrar du in följande text i en textredigerare, till exempel Anteckningar. Spara sedan filen med filnamnstillägget .reg (till exempel disableAuthenticodeVerification.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-Du kan använda den här .reg filen på enskilda system genom att dubbelklicka på den.
Observera Att du måste starta om systemet för att ändringarna ska börja gälla.
För 64-bitarsversioner av Microsoft Windows klistrar du in följande text i en textredigerare, till exempel Anteckningar. Spara sedan filen med filnamnstillägget .reg (till exempel disableAuthenticodeVerification64.reg).
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=- [HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config] "EnableCertPaddingCheck"=-
Du kan använda den här .reg filen på enskilda system genom att dubbelklicka på den.
Observera Att du måste starta om systemet för att ändringarna ska börja gälla.
Ytterligare föreslagna åtgärder
Skydda datorn
Vi fortsätter att uppmuntra kunderna att följa vår vägledning om att skydda din dator för att aktivera en brandvägg, hämta programuppdateringar och installera antivirusprogram. Mer information finns i Microsoft Valv ty & Security Center.
Håll Microsoft Software uppdaterat
Användare som kör Microsoft-programvara bör tillämpa de senaste Microsoft-säkerhetsuppdateringarna för att se till att deras datorer är så skyddade som möjligt. Om du inte är säker på om programvaran är uppdaterad går du till Microsoft Update, söker igenom datorn efter tillgängliga uppdateringar och installerar eventuella uppdateringar med hög prioritet som erbjuds dig. Om du har aktiverat och konfigurerat automatisk uppdatering för att tillhandahålla uppdateringar för Microsoft-produkter levereras uppdateringarna till dig när de släpps, men du bör kontrollera att de är installerade.
Övrig information
Microsoft Active Protections Program (MAPP)
För att förbättra säkerhetsskyddet för kunder tillhandahåller Microsoft sårbarhetsinformation till stora leverantörer av säkerhetsprogram före varje månatlig version av säkerhetsuppdateringen. Säkerhetsprogramleverantörer kan sedan använda den här sårbarhetsinformationen för att ge kunderna uppdaterat skydd via deras säkerhetsprogram eller enheter, till exempel antivirusprogram, nätverksbaserade intrångsidentifieringssystem eller värdbaserade intrångsskyddssystem. Om du vill ta reda på om aktiva skydd är tillgängliga från leverantörer av säkerhetsprogram kan du besöka de aktiva skyddswebbplatser som tillhandahålls av programpartners, listade i Mapp-partner (Microsoft Active Protections Program).
Feedback
- Du kan ge feedback genom att fylla i microsofts hjälp- och supportformulär, kundtjänst kontakta oss.
Support
- Kunder i USA och Kanada kan få teknisk support från säkerhetssupporten. Mer information finns i Microsofts hjälp och support.
- Internationella kunder kan få support från sina lokala Microsoft-dotterbolag. Mer information finns i Internationell support.
- Microsoft TechNet Security innehåller ytterligare information om säkerhet i Microsoft-produkter.
Friskrivning
Informationen som tillhandahålls i denna rekommendation tillhandahålls "som den är" utan garanti av något slag. Microsoft frånsäger sig alla garantier, antingen uttryckliga eller underförstådda, inklusive garantier för säljbarhet och lämplighet för ett visst syfte. Under inga omständigheter ska Microsoft Corporation eller dess leverantörer vara ansvariga för eventuella skador, inklusive direkta, indirekta, tillfälliga, följdskador, förlust av företagsvinster eller särskilda skador, även om Microsoft Corporation eller dess leverantörer har informerats om risken för sådana skador. Vissa stater tillåter inte undantag eller begränsning av ansvar för följdskador eller oförutsedda skador, så den föregående begränsningen kanske inte gäller.
Revideringar
- V1.0 (10 december 2013): Rådgivning publicerad.
- V1.1 (13 december 2013): Korrigerade registernyckelinformationen i den föreslagna åtgärden Test the Improvement to Authenticode Signature Verification .V1.1 (Test the Improvement to Authenticode Signature Verification suggested action). Kunder som har tillämpat eller planerar att tillämpa den föreslagna åtgärden bör granska den reviderade informationen.
- V1.2 (11 februari 2014): Återutgiven rådgivning som en påminnelse till kunderna om att de vilande ändringarna som implementeras med MS13-098 kommer att aktiveras den 10 juni 2014. Efter det här datumet identifierar Windows inte längre icke-kompatibla binärfiler som signerade. Mer information finns i avsnitten Rekommendation och Föreslagna åtgärder i den här rekommendationen.
- V1.3 (21 maj 2014): Reviderad rekommendation som återspeglar det nya slutdatumet den 12 augusti 2014 för när icke-kompatibla binärfiler inte längre kommer att erkännas som signerade. I stället för ett slutdatum den 10 juni 2014 aktiveras de vilande ändringarna som implementeras med MS13-098 den 12 augusti 2014.
- V1.4 (29 juli 2014): Reviderad rekommendation för att meddela att Microsoft inte längre planerar att tillämpa det striktare verifieringsbeteendet som standardfunktion på versioner av Microsoft Windows som stöds. Den är fortfarande tillgänglig som en opt-in-funktion. Mer information finns i avsnittet Vanliga frågor och svar om rådgivning.
Sidan genererades 2014-07-29 14:38Z-07:00.